Securite

Comment proteger son site contre les attaques DDoS en 2026

Par MeilleurHebergement.ch ·
Comment proteger son site contre les attaques DDoS en 2026

Les attaques DDoS (Distributed Denial of Service) sont l’une des menaces les plus courantes sur le web. Elles visent a rendre votre site inaccessible en le submergeant de trafic malveillant. En 2026, ces attaques sont plus frequentes et plus sophistiquees que jamais.

Cadenas de securite informatique et protection contre les cyberattaques DDoS

Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS consiste a envoyer un volume massif de requetes vers un serveur pour epuiser ses ressources (bande passante, CPU, memoire) et le rendre inaccessible aux visiteurs legitimes. Pour une explication detaillee du fonctionnement de ces attaques, consultez le guide Cloudflare sur les attaques DDoS.

Contrairement a une attaque DoS (simple), une DDoS utilise des milliers voire des millions de machines (souvent des botnets) pour attaquer simultanement, ce qui la rend beaucoup plus difficile a bloquer.

Types d’attaques DDoS

Attaques volumetriques : submergent la bande passante avec un enorme volume de donnees (UDP flood, DNS amplification). C’est le type le plus courant, representant environ 65% des attaques DDoS en 2025-2026.

Attaques protocolaires : exploitent les faiblesses des protocoles reseau (SYN flood, Ping of Death). Elles ciblent les equipements reseau (firewalls, load balancers).

Attaques applicatives (Layer 7) : les plus sophistiquees. Elles imitent le trafic normal pour epuiser les ressources du serveur web (HTTP flood, Slowloris). Difficiles a detecter car chaque requete semble legitime.

L’impact d’une attaque DDoS

  • Site inaccessible : perte de revenus, surtout pour les sites e-commerce
  • Reputation degradee : les visiteurs perdent confiance en votre site
  • Couts supplementaires : surconsommation de bande passante facturee par l’hebergeur
  • Distraction : les DDoS servent parfois de diversion pendant qu’une autre attaque vise vos donnees
  • Penalite SEO : un site regulierement indisponible sera penalise par Google

Solutions de protection anti-DDoS

1. Cloudflare (recommande)

Cloudflare est la solution anti-DDoS la plus populaire et accessible. Meme le plan gratuit offre une protection DDoS de base illimitee.

Plan gratuit :

  • Protection DDoS Layer 3/4 illimitee
  • CDN mondial (ameliore aussi la vitesse)
  • SSL gratuit
  • Regles de pare-feu limitees (5 regles)

Plan Pro (20 USD/mois) :

  • WAF (Web Application Firewall)
  • Protection DDoS avancee
  • Regles de pare-feu etendues
  • Analytics detailles

Plan Business (200 USD/mois) :

  • SLA de disponibilite 100%
  • WAF avance avec regles personnalisees
  • Support prioritaire

Pour un guide complet, consultez notre article Cloudflare : guide complet.

2. Protection cote hebergeur

Les bons hebergeurs incluent une protection DDoS de base :

  • Infomaniak : protection DDoS incluse sur tous les plans, filtrage automatique
  • Hetzner : protection DDoS gratuite jusqu’a 3 Tbps sur tous les serveurs
  • OVHcloud : protection Anti-DDoS VAC incluse, l’une des meilleures du marche
  • o2switch : protection DDoS de base incluse

OVHcloud merite une mention speciale : leur infrastructure Anti-DDoS VAC peut absorber des attaques de plus de 1 Tbps et est reconnue comme l’une des meilleures protections DDoS au monde.

3. WAF (Web Application Firewall)

Un WAF filtre le trafic HTTP et bloque les requetes malveillantes avant qu’elles n’atteignent votre serveur. Il protege contre les attaques applicatives (Layer 7) que la protection DDoS basique ne couvre pas toujours.

Solutions WAF populaires :

  • Cloudflare WAF : integre au CDN, le plus simple a mettre en place
  • Sucuri : specialise WordPress, inclut CDN + WAF + nettoyage malware
  • ModSecurity : WAF open source installable sur votre serveur (Apache/Nginx)

4. Rate limiting

Le rate limiting consiste a limiter le nombre de requetes qu’une adresse IP peut envoyer dans un laps de temps donne. C’est une defense efficace contre les attaques par force brute et certaines attaques DDoS Layer 7.

Avec Nginx :

# Limite a 10 requetes/seconde par IP
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

server {
    location / {
        limit_req zone=one burst=20 nodelay;
    }
}

Avec Cloudflare : configurable dans les regles de Rate Limiting (plan gratuit : 1 regle, plan Pro : 2 regles).

Proteger un site WordPress contre les DDoS

WordPress est particulierement vulnerable aux attaques DDoS car certains endpoints sont gourmands en ressources :

Proteger xmlrpc.php

Le fichier xmlrpc.php est une cible frequente. Si vous n’utilisez pas l’API XML-RPC, bloquez-le :

# Dans .htaccess
<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

Proteger wp-login.php

Limitez les tentatives de connexion avec un plugin comme Limit Login Attempts Reloaded ou via .htaccess :

<Files wp-login.php>
    Order Deny,Allow
    Deny from all
    Allow from votre.ip.fixe
</Files>

Desactiver les REST API non necessaires

Certaines routes de l’API REST WordPress peuvent etre exploitees. Limitez l’acces si vous ne les utilisez pas.

Plugins de securite WordPress

  • Wordfence : firewall applicatif + scanner de malware + protection brute force
  • Sucuri Security : WAF cloud + surveillance + nettoyage
  • iThemes Security : durcissement WordPress + protection brute force

Pour plus de conseils, consultez notre guide securiser un site WordPress.

Serveurs datacenter proteges contre les attaques DDoS et menaces web

Plan d’action en cas d’attaque

Si votre site est actuellement sous attaque DDoS, suivez ces etapes :

  1. Identifiez le type d’attaque : verifiez les logs serveur pour determiner s’il s’agit d’une attaque volumetrique ou applicative
  2. Activez Cloudflare mode “Under Attack” : ce mode ajoute un challenge JavaScript de 5 secondes avant chaque visite
  3. Contactez votre hebergeur : ils peuvent appliquer des filtres au niveau reseau
  4. Bloquez les IP malveillantes : identifiez les IP les plus actives et bloquez-les au niveau firewall
  5. Surveillez la situation : la plupart des attaques DDoS durent entre 30 minutes et quelques heures

Commandes utiles pour diagnostiquer (Linux/VPS)

# Voir les connexions actives par IP
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -rn | head -20

# Voir les requetes par IP dans les logs Apache
cat /var/log/apache2/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | head -20

# Bloquer une IP avec iptables
iptables -A INPUT -s IP_MALVEILLANTE -j DROP

Prevention : bonnes pratiques

Configuration serveur

  • Gardez votre serveur a jour : patches de securite, derniere version de PHP, du serveur web
  • Configurez des timeouts courts : limitez les connexions longues qui gaspillent les ressources
  • Desactivez les services inutiles : chaque port ouvert est une surface d’attaque potentielle

Architecture

  • Utilisez un CDN : distribuer le trafic sur plusieurs serveurs reduit l’impact d’une attaque (qu’est-ce qu’un CDN)
  • Separarez le contenu statique : servez les images et assets depuis un sous-domaine ou CDN
  • Prevoyez du scaling : sur un VPS ou un cloud, la possibilite de scaler temporairement aide a absorber les pics

Surveillance

  • Monitorez votre trafic : utilisez des alertes pour detecter les pics anormaux
  • Google Search Console : surveillez les erreurs serveur (guide Search Console)
  • Uptime monitoring : des services comme UptimeRobot (gratuit) vous alertent quand votre site est down

Combien coute la protection DDoS ?

SolutionPrixProtection
Cloudflare gratuit0DDoS L3/L4 illimite
Cloudflare Pro20 USD/moisDDoS + WAF
OVHcloud Anti-DDoSInclusJusqu’a 1+ Tbps
Hetzner DDoSInclusJusqu’a 3 Tbps
Sucuri WAF10 USD/moisWAF + CDN + DDoS

Pour la plupart des sites, Cloudflare gratuit + un bon hebergeur offrent une protection suffisante. Les sites e-commerce ou a fort trafic devraient envisager Cloudflare Pro ou Sucuri.

FAQ

Mon hebergement mutualise me protege-t-il contre les DDoS ?

La plupart des hebergeurs mutualisés ont une protection DDoS de base au niveau infrastructure. Cependant, une attaque ciblee sur votre site peut affecter les performances de tous les sites sur le meme serveur. Les hebergeurs comme Infomaniak et o2switch ont des systemes de mitigation, mais pour une protection maximale, ajoutez Cloudflare devant.

Cloudflare ralentit-il mon site ?

Non, au contraire. Cloudflare agit comme un CDN et accelere votre site en servant le contenu statique depuis des serveurs proches de vos visiteurs. Le mode “Under Attack” ajoute un delai de 5 secondes, mais il ne doit etre active que pendant une attaque.

Puis-je etre attaque meme avec une protection ?

Aucune protection n’est infaillible a 100%. Les attaques DDoS les plus massives peuvent depasser les capacites de certaines solutions. Cependant, Cloudflare et OVHcloud ont prouve qu’ils peuvent absorber des attaques de plusieurs Tbps. Pour un site classique, le risque d’une attaque depassant ces protections est extremement faible.

Que faire si les attaques sont recurrentes ?

Si votre site est regulierement cible, considerez : passer a Cloudflare Pro/Business, changer d’hebergeur pour un avec meilleure protection DDoS (OVHcloud, Hetzner), et dans les cas extremes, faire appel a un service specialise comme Akamai ou AWS Shield.

#ddos #securite #protection #cloudflare